Arratsalde on, irakurle maitea!
Aspalditik ari naiz aktiboki jarraitzen Ekonomia Digitalaren programaren eguneraketak eta berriak. EGAIS sistemaren barneko langile baten ikuspuntutik, noski, prozesuak hamarkada luzeak izango ditu. Bai garapenaren ikuspuntutik, bai probaren, itzuleraren eta inplementazio gehiagoren ikuspegitik, eta ondoren mota guztietako akatsen doikuntza saihestezin eta mingarriak. Dena den, gaia beharrezkoa, garrantzitsua eta premiazkoa da. Dibertsio honen guztiaren bezero eta eragile nagusia estatua da, noski. Egia esan, mundu osoan bezala.
Prozesu guztiak digitaletara igaro dira aspalditik edo bidean daude. Hau oraindik zoragarria da. Hala ere, bikaintasunerako dominek alde txarrak dituzte. Sinadura digitalarekin etengabe lan egiten duen pertsona naiz. Sinadura elektronikoak tokenak erabiliz babesteko sinadura elektronikoak babesteko metodo fidagarri eta irabazi-irabazleen aldekoa naiz agian. Baina digitalizazioak erakusten digu dena “hodeietan” egon dela aspalditik eta CEP ere hor behar dela eta oso azkar behar dela.
Marko legegile eta teknikoaren mailan, ahal den neurrian, hodeiko sinadura elektronikoekin gauzak nola dauden ikusten saiatu nintzen hemen eta Europan. Izan ere, gai honi buruzko tesi zientifiko bat baino gehiago argitaratu da dagoeneko. Horregatik, gai honetako profesionalak gaiaren garapenean bat egitera animatzen ditugu.
Zergatik da erakargarria CEP hodeian? Izan ere, abantailak daude. Abantaila horiek nahikoa daude. Azkar eta erosoa da. Publizitate eslogan bat dirudi, ados egongo zara, baina hauek dira hodeiko sinadura digitalaren ezaugarri objektiboak.
Abiadura dokumentuak sinatzeko gaitasunean datza, token edo txartel adimendunekin lotu gabe. Ez gaitu behartzen mahaigaina soilik erabiltzera. Ehuneko ehuneko plataforma anitzeko istorioa edozein OS eta arakatzailetarako. Hau bereziki egia da Apple produktuen zaleentzat, zeinentzat zailtasun batzuk baitaude MAC sisteman sinadura elektronikoak onartzeko. Irteera munduko edozein lekutatik, CAren aukeratzeko askatasuna (baita errusiarrak ez direnak ere). CEP hardwarea ez bezala, hodeiko teknologiek softwarearen eta hardwarearen bateragarritasunaren zailtasunak saihesteko aukera ematen dute. Zein, bai, erosoa, eta, bai, azkarra.
Eta nola ez liluratu halako edertasunak? Deabrua xehetasunetan dago. Hitz egin dezagun segurtasunaz.
Errusian CEP "Hodeia".
Hodeiko soluzioen segurtasuna, eta batez ere sinadura digitala, segurtasun profesionalen mingarri nagusietako bat da. Zer ez zaidan gustatzen zehazki, galdetuko dit irakurleak, denek denbora luzez erabiltzen baitute hodeiko zerbitzuak, eta SMSekin are fidagarriagoa baita banku-transferentzia bat egitea.
Egia esan, berriro ere, itzul gaitezen xehetasunetara. Hodeiko sinadura digitala eztabaidatzea zaila den etorkizuna da. Baina orain ez. Horretarako, hodeiko sinadura digitalen jabea babestuko duten arau-aldaketak gertatu behar dira.
Zer daukagu gaur? Sinadura digitalaren kontzeptua, dokumentu elektronikoen kudeaketa (EDF) eta informazioa babesteko eta datuen zirkulazioari buruzko legeak definitzen dituzten hainbat dokumentu daude. Bereziki, Kode Zibila (Errusiar Federazioko Kode Zibila) kontuan hartu behar duzu, dokumentuetan sinadura elektronikoen erabilera arautzen duena.
63/06.04.2011/XNUMXko “Sinadura Elektronikoei buruzko” XNUMX-FZ Lege Federala. Hainbat motatako transakzioak egitean eta zerbitzuak ematean sinadura digitala erabiltzearen esanahi orokorra deskribatzen duen oinarrizko eta esparru-legea.
149-FZ Lege Federala “Informazioaren, informazioaren teknologien eta informazioaren babesari buruzkoa, 27.07.2006ko uztailaren XNUMXkoa. Dokumentu honek dokumentu elektronikoaren kontzeptua eta erlazionatutako segmentu guztiak zehazten ditu.
EDIren erregulazioan parte hartzen duten lege-egintza osagarriak daude
402ko abenduaren 06.12.2011ko XNUMX-FZ "Kontabilitateari buruzko" Lege Federala. Legegintzako legeak kontabilitate- eta kontabilitate-dokumentuen eskakizunak forma elektronikoan sistematizatu nahi ditu.
barne. Errusiar Federazioko Arbitraje Prozedura Kodea kontuan har dezakezu, sinadura elektronikoz sinatutako dokumentuak epailearen aurrean froga gisa onartzen dituena.
Eta hemen bururatu zitzaidan segurtasunaren gaian sakontzea, gure kriptografia babesteko bitartekoen estandarrak FSBk ematen dituelako eta adostasun ziurtagiriak ematea bermatzen duelako. Otsailaren 18an, GOST estandar berriak sartu ziren. Horrela, hodeian gordetako gakoak ez daude zuzenean babestuta FSTEC ziurtagiriek. Giltzak beraiek babestea eta "hodeian" sarrera segurua dira oraindik konpondu ez ditugun oinarriak. Jarraian, Europar Batasuneko araudiaren adibidea ikusiko dut, segurtasun sistema aurreratuago bat argi eta garbi erakutsiko duena.
Hodeiko sinadura digitalak erabiltzean Europako esperientzia
Has gaitezen gauza nagusiarekin: hodeiko teknologiek, sinadura digitalak ez ezik, estandar argia dute. Oinarria Europako Telekomunikazio Arauen Institutuaren (ETSI) Cloud Standard Coordination (CSC) taldea da. Hala ere, oraindik ere desberdintasunak daude datuen babeserako estandarretan herrialde ezberdinetan.
Datuen babes integralaren oinarria hornitzaileentzako derrigorrezko ziurtagiria da, informazioaren segurtasuna kudeatzeko sistemen arabera ISO 27001:2013 (dagokion Errusiako GOST R ISO/IEC 27001-2006 arau honen 2006ko bertsioan oinarritzen da).
ISO 27017-k ISO 27002n falta diren hodeirako segurtasun-elementu osagarriak eskaintzen ditu. Arau honen izen ofizial osoa "Hodeiko zerbitzuetarako ISO/IEC 27002-n oinarritutako informazioaren segurtasun-kontroletarako praktika-kodea" da. ISO/IEC 27002 hodeiko zerbitzuetarako. ").
2014ko udan, ISO 27018:2015 estandarra argitaratu zuen hodeian datu pertsonalak babesteari buruzkoa, eta 2015 amaieran, ISO 27017:2015 hodeiko soluzioetarako informazioaren segurtasun-kontrolei buruzkoa.
2014ko udazkenean, Europako Parlamentuaren 910/2014 zenbakiko Ebazpen berria, eIDAS izenekoa, indarrean jarri zen. Arau berriei esker, erabiltzaileek EPC gakoa gorde eta erabil dezakete konfiantzazko zerbitzu hornitzaile akreditatu baten zerbitzarian, TSP (Trust Service Provider) delakoan.
2013ko urrian, Normalizaziorako Europako Batzordeak (CEN) CEN/TS 419241 "Security Requirements for Trustworthy Systems Supporting Server Signing" zehaztapen teknikoa onartu zuen, hodeiko sinadura digitalak arautzeari eskainia. Dokumentuak segurtasun-betetze-maila batzuk deskribatzen ditu. Esate baterako, sinadura elektroniko kualifikatua sortzeko beharrezkoa den "2. maila" betetzeak erabiltzailearen autentifikazio-aukera sendoak onartzen ditu. Maila honetako eskakizunen arabera, erabiltzaileen autentifikazioa zuzenean sinadura zerbitzarian gertatzen da, adibidez, sinadura zerbitzarian bere izenean sartzen den aplikazio batean “1. mailan” onartzen den autentifikazioarekin. Halaber, zehaztapen honen arabera, sinadura elektroniko kualifikatua sortzeko erabiltzailearen sinadura-giltzak gailu seguru espezializatu baten memorian gorde behar dira (hardware-segurtasun modulua, HSM).
Erabiltzaileen autentifikazioak hodeiko zerbitzu batean gutxienez bi faktore izan behar du. Oro har, aukerarik erabilgarriena eta erabilerrazena SMS mezu batean jasotako kode baten bidez saioa hastea berrestea da. Adibidez, Errusiako bankuen RBS kontu pertsonal gehienak ezarri dira. Ohiko token kriptografikoez gain, telefonoan aplikazio bat eta behin-behineko pasahitz-sorgailuak (OTP tokenak) ere erabil daitezke autentifikazio-bide gisa.
Oraingoz, behin-behineko ondorio bat atera dezaket hodeiko CEPak oraindik eratzen ari direla eta goizegi da hardwaretik urruntzeko. Printzipioz, prozesu naturala da, Europan ere (ai, bikaina!) 13-14 urte inguru iraun zuen estandar zehatzagoak edo gutxiago garatu ziren arte.
Gure hodeiko zerbitzuak arautzen dituzten GOST estandar onak garatzen ez ditugun arte, goizegi da hardware soluzioen erabateko abandonuaz hitz egiteko. Aitzitik, orain, aitzitik, “hibridoetara” egiten hasiko dira, hau da, hodeiko sinadurarekin ere lanean. Hodeiarekin lan egiteko Europako estandarrak betetzen dituzten adibide batzuk ezarri dira dagoeneko. Baina horretaz apur bat zehatzago hitz egingo dugu material berri batean.
Iturria: www.habr.com